Mikko Hypponen: Chiến đấu vi-rút, bảo vệ mạng lướt

Tôi yêu Internet. Thật. Hãy nghĩ đến tất cả những thứ mà nó mang lại cho chúng ta. Hãy nghĩ đến tất cả những dịch vụ mà chúng ta dùng tất cả những khả năng kết nối tất cả những hình thức giải trí tất cả những việc kinh doanh, thương mại Tất cả đều đang diễn ra trong một vòng đời của chúng ta Tôi gần như chắc chắn rằng một ngày chúng ta sẽ viết sách lịch sử hàng trăm năm kể từ bây giờ. Lúc đó thế hệ của chúng ta sẽ được nhớ đến như cái thế hệ mà đã lên mạng cái thế hệ mà đã xây dựng được một cái gì đó thật sự mang tính toàn cầu. Nhưng mà đồng thời, cũng đúng là Internet có vấn đề, thậm chí là những vấn đề nghiêm trọng vấn đề về an ninh và vấn đề về riêng tư. Tôi đã rành cả sự nghiệp chống lại những vấn đề này.

Hãy để tôi chỉ cho các bạn đôi điều. cái này là Bộ Não (Brain) đó là một cái đĩa mềm đĩa mềm loại 5¼ inch bị nghiễm bệnh Brain A Đó là con vi-rút đầu tiên mà chúng ta đã tìm ra cho máy tính PC. Và thật ra chúng ta biết Bộ Não đến từ đâu. Chúng ta biết vì có ghi thế trong cái mã. Cùng xem nhé. Được rồi. Đó là phần boot sector của một đĩa mềm bị nhiễm vi-rút Và nếu chúng ta nhìn sâu hơn vào bên trong chúng ta sẽ thấy rằng ngay ở đó có ghi là: "Chào mừng đến ngục tối" Và tiếp là 1986, Basit và Amjad, Basit và Amjad là tên Pakistani là tên. Thực ra, có một số điện thoại và địa chỉ ở Pakistan.

(cười)

1986 Bây giờ là 2011. Đấy là 25 năm trước. Cái vấn đề với vi-rút cho máy PC này đã được 25 tuổi. Nửa năm trước, tôi đã quyết định tự mình đi Pakistan Để xem nào, đây là một vài bức hình tôi chụp ở Pakistan Đây là thành phố Lahore, khoảng 300 km phía nam của Abbottabad, nơi mà Bin Laden bị bắt. Đây là một cái nhìn điển hình. Và đây là cái phố hoặc đường dẫn đến cái toà nhà này, ở chỗ 730 Nizam ở thị trấn Allama Iqbal. Tôi gõ cửa. (cười) Đoán xem ai ra mở cửa? Basit và Amjad; họ vẫn còn ở đấy. (cười) (vỗ tay) Người đang đứng là Basit. Người đang ngồi là anh trai Amjad. Đây là người đã viết ra vi-rút đầu tiên cho máy PC. Và đươc nhiên, chúng tôi đã có một cuộc nói chuyện rất thú vị. Tôi hỏi họ tại sao. Tôi hỏi họ họ cảm thấy thế nào khi họ bắt đầu. Tôi khá là toại nguyện khi biết rằng cả Basit và Amjad đều bị nhiễm vài chục lần những con vi-rút không liên quan những năm kế tiếp. Đời này thật ra cũng có công lý chứ không phải không.

Nhưng cái con vi-rút mà chúng ta thấy ở những năm 1980, 1990 hẳn nhiên không phải là vấn đề nữa. Vì vậy hãy để tôi cho các bạn một vài ví dụ để xem máy con vi-rút đấy đã trông như thế nào. Tôi đang chạy một hệ thống mà có khả năng đế chạy những chương trình cũ trên máy tính hiện đại. Vì vậy, hãy để tôi gắn kết một số ổ đĩa. Đi qua đó. Những gì chúng tôi có ở đây là một danh sách các virus cũ. Nào, hãy để tôi chạy một số virus trên máy tính của tôi.

Ví dụ, chúng ta hãy đi với virus Centipede. Và bạn có thể thấy ở phía trên của màn hình, có cái centipede rượt qua máy tính của bạn khi bạn bị nhiễm cái này. Bạn biết rằng bạn bị nhiễm, bởi vì nó hiện ra. Đây là một con vi-rút khác tên là Crash phát minh ở Nga vào năm 1992. Hãy để tôi chỉ cho bạn xem một con vi-rút mà thực sự làm ra một số âm thanh. (tiếng ồn) ví dụ cuối cùng hãy đoán xem con vi-rút Walker làm gì nào. Có, có một chàng trai đi bộ qua màn hình của bạn khi bạn bị nghiễm. Khá là dễ để biết rằng mày bạn đã bị vi-rút khi chúng được tạo ra bởi những người với sở thích này hoặc bởi thanh thiếu niên.

Ngày nay, vi-rút con còn được tao ra bởi những người có sở thích tạo ra vi-rút và thanh thiếu niên. Ngày nay, vi-rút là một vần đề toàn cầu. Những gì chúng tôi có ở đây trên nền là một ví dụ về hệ thống của chúng tôi mà chúng tôi chạy trong phòng thí nghiệm, nơi chúng tôi theo sự lan nhiễm của virus trên toàn thế giới. Vì vậy, chúng tôi thực sự có thể thấy trong thời gian thực mà chúng tôi đã chặn vi-rút ở Thụy Điển và Đài Loan Nga và một số nơi khác. Trong thực tế, nếu tôi chỉ cần kết nối với các hệ thống phòng thí nghiệm của chúng tôi qua mạng, chúng tôi có thể thấy trong thời gian thực chỉ một vài giả thuyết về việc có bao nhiêu loại vi-rút bao nhiêu mẫu về phần mềm độc hại ta có thể tìm thấy hằng ngày Đây là con vi-rút mới nhất mà chúng tôi tìm thấy năm trong tệp tin tên là Server.exe Và chúng tôi tìm thấy nó ở đây ba giây trước và con trước đó, sáu giây trước. Và nếu ta kéo xuống thì quá là khủng khiếp. Chúng tôi tìm thấy hàng chục ngàn, thậm chí hàng trăm ngàn, chỉ trong vòng 20 phút trước đay trên những phần mềm độc hại hằng ngày.

Vậy thì chúng nó từ đâu ra? Ngày nay, đó là các băng nhóm tội phạm có tổ chức viết ra những con vi-rút này bởi vì họ kiếm tiền với virus của họ. Những bang nhóm như là hãy đi đến GangstaBucks.com. Đây là một trang hoạt đông ở Moscow nơi mà những kẻ này mua máy tính bị nhiễm vi-rút. Vì vậy, nếu bạn là một người viết virus và bạn đang có khả năng lây nhiễm các máy tính Windows, nhưng bạn không biết phải làm gì với nó, bạn có thể bán những máy tính bị nhiễm máy tính của người khác - cho những kẻ này. Và họ thực sự sẽ trả tiền cho các máy tính này. Làm thế nào để những kẻ này làm ra tiền bằng những cái máy tính bị vi-rút này. Có nhiều cách, chẳng hạn như trojan cho ngân hàng sẽ ăn cắp tiền từ tài khoản ngân hàng trực tuyến của bạn khi mà bạn lên tài khoản trức tuyến, hoặc keyloggers. Keyloggers nằm trên máy bạn và bạn không nhìn thấy, và chúng lưu lại tất cả những gì bạn đánh. bạn đang ngồi trên máy tính của bạn và bạn đang thực hiện tìm kiếm của Google. Mỗi Google tìm kiếm bạn gõ được lưu và gửi đến những tên tội phạm. Tất cả các email bạn viết sẽ được lưu và gửi đến những tên tội phạm. với tất cả các mật khẩu, và tất cả những thứ khác.

Nhưng cái mà bọn nó đang thực sự tìm kiếm hầu hết là những buổi nơi bạn lên trực tuyến và mua hàng trực tuyến trong bất kỳ cửa hàng trực tuyến nào. Bởi vì khi bạn mua hàng tại các cửa hàng trực tuyến, bạn sẽ được gõ vào tên của bạn, địa chỉ giao hàng, số thẻ tín dụng và mã số thẻ tín dụng bảo mật. Và đây là một ví dụ của một tập tin chúng tôi tìm thấy từ một máy chủ một vài tuần trước đây. Đó là số thẻ tín dụng, đó là ngày hết hạn, đó là mã bảo vệ, và đó là tên của chủ sở hữu của thẻ. Một khi bạn có được truy cập vào thông tin thẻ tín dụng của người khác, bạn có thể đi trực tuyến và mua bất cứ điều gì bạn muốn với thông tin này. rõ ràng đây là một vấn đề. Bây giờ chúng ta có cả một thị trường ngầm và hệ sinh thái kinh doanh xây dựng xung quanh tội phạm trực tuyến.

Một ví dụ về những kẻ này thực sự có khả năng kiếm tiền từ hoạt động của mình như thế nào. Chúng tôi đã có một cái nhìn tại các trang của INTERPOL và tìm kiếm những kẻ bị truy nã. Chúng tôi tìm thấy những người như Bjorn Sundin, từ Thụy Điển, với đồng phạm, cũng được liệt kê trên trang những kẻ bị truy nã của INTERPOL Anh Shaileshkumar Jain, một người Mỹ Những kẻ đang chạy một hoạt động gọi là IMU, một hoạt động tội phạm mạng mà thông qua nó những kẻ này ghi được hàng triệu. Cả hai cái này đều vẫn đang chạy trốn. Không ai biết chúng nó đang ở đâu. Các quan chức Mỹ, chỉ cần một vài tuần trước đây, đóng một tài khoản ngân hàng Thụy Sĩ của anh Jain này, và tài khoản ngân hàng có 14.900.000 đô la Mỹ.

Số lượng tội phạm tiền trực tuyến tạo ra là rất đáng kể. Và điều đó có nghĩa là rằng bọn tội phạm trực tuyến khác thực sự có thể đủ khả năng để đầu tư vào các cuộc tấn công của chúng. Chúng ta biết rằng bọn tội phạm trực tuyến đang thuê lập trình viên, thuê người kiểm tra, mật mã của chúng, để có hệ thống back-end với cơ sở dữ liệu SQL. Và họ có thể đủ khả năng để xem làm thế nào chúng ta làm việc - như là làm thế nào an ninh làm việc - và tìm cách đi phá vỡ bất kỳ biện pháp phòng ngừa an ninh chúng ta xây dựng. Chúng nó cũng sử dụng tính chất toàn cầu của Internet làm lợi thế. Ý tôi là, Internet là quốc tế. Chính vì vậy nó mới gọi là Internet.

Nếu bạn thử nhìn vào những gì đang xẩy ra trên thế giới trực tuyến đây là một cái video được tạo nên trên Clarified Networks, nó minh họa làm thế nào một phần mềm độc hại duy nhất là có thể di chuyển trên khắp thế giới. Hoạt động này, được cho là từ Estonia, chuyển động từ nước này sang nước khác ngay sau khi trang web bị bắt đóng. Vì vậy, chúng ta không thể loại được mấy kẻ này. Chúng nó chuyển từ nước này sang nước khác, từ quyền lực pháp lý này sang quyền lực pháp lý khác -- di chuyển xung quanh thế giới, bằng cách sử dụng thực tế là chúng ta không có khả năng để làm cảnh sát toàn cầu hoạt động như thế này. Internet là như thể là một người được cho vé máy bay miễn phí để gặp những tôi phạm trực tuyến của toàn thế giới. Bây giờ, bọn tội phạm, những người không có khả năng tìm được chúng ta trước kia có thế nắm được thông tin của chúng ta.

Vậy thì làm thế nào bây giờ để tìm bọn tôi phạm trực tuyến? Làm thế nào để bạn thực sự theo dõi chúng. Để tôi cho bạn một ví dụ. Cái chúng ta có ở đây là một tập tin khai thác. Ở đây, tôi đang nhìn đến bãi chứa Hex của một tập tin hình ảnh, mà có chứa một sự khai thác. về cơ bản, nó có nghĩa là nếu bạn đang cố gắng xem tập tin hình ảnh trên máy tính Windows của bạn,, nó thật ra chiếm lấy máy tính của bạn và chạy mã lệnh.

Bây giờ, nếu bạn nhìn vào cái ảnh này có cái tiêu đề hình ảnh, và đây là khi mà mã lệnh thực tế của cuộc tấn công bắt đầu. Và mã số đó đã được mã hóa, vậy thì hãy giải mã nó. Nó đã được mã hóa với chức năng XOR 97. Bạn phải tin tôi. Thật đấy, thật đấy. Và chúng ta có thế đi ra đây và thật sự bắt đầu giải mã nó. Cái phần màu vàng của mã này đã được giải mã. Tôi biết, trông nó chả khác máy với bản gốc. Nhưng mà bạn cứ tiếp tục nhìn kỹ mà xem. Bạn sẽ thấy những gì thực sự ở đây bạn sẽ thấy một cái đỉa chỉ của website unionseek.com/d/ioo.exe Bạn có thể thấy hình này trên máy tính nó thật ra sẽ tải về và chạy chương trình này. Đây là cái cửa sau mà sẽ lâm chiếm cái máy tính của bạn.

Nhưng mà thú vị hơn, Nếu chúng ta tiếp tục giải mã, chúng ta sẽ thấy một thứ rất bí hiểm, là cái O600KO78RUS. Cái mã này ở ngay dưới cái mã hoá như thể là một thế loại chữ ký. Chẳng dùng đế làm gì. Tôi nhìn vào nó, cố gằng tìm hiểu xem nó là cái gì. Và đương nhiên là tôi đã tìm nó trên google, không có kết quả, nó không có trên google. Vì vậy tôi nói chuyện với mấy anh ở phòng thí nghiệm, Chúng tôi có mấy người Nha ở phòng thí nghiệm của chúng tôi, mà một sống số họ bảo là phần cuối của cái mã này la rus như là Russia (Nga) và 78 là mã số của thành phố St. Petersburg Ví dụ như là, bạn có thể tìm thấy nó trong số điện thoại hoặc là biển số xe, mấy thứ như vậy. Vì vậy, tôi đi tìm liên lạc ở St. Petersburg, Qua một con đường dài, chúng tôi đã tìm thấy cái trang web này

Có một anh chàng người Nga này đã hoạt động trực tuyến từ nhiều năm có trang web riêng, có một cái blog trên trang Live Journal nổi tiêng. Anh ta viết blog về cuộc đời của mình, và cuộc sống của anh ta ở St. Petersburg, anh ta ở những năm đầu của tuổi 20 -- về con mèo của anh ta, về cô bạn gái. Anh ta có một cái xe ô tô rất xịn Quả thật, anh ta láy một chiếc Mercedes-Benz S600 V12 với một động cơ 6 lít với hơn 400 mã lực. Quả là một cái xe xin cho một anh chàng hơn 20 một chút ở St. Petersburg.

Làm sao tôi biết về cái xe của anh ta? Anh ta viết blog về cái xe ô tô nốt. Thật ra anh ta đã bị tai nạn ô tô ở trung tâm thành phố St. Petersburg, thật ra anh ta đã đâm xe mình vào một xe khác anh ta đã cho lên blog những hình ảnh của vụ tai nạn đây chính là con Mercedes của anh ta -- và đây là con Lada Samara và anh ta đâm vào. và bạn có thể thấy là cái biển xe của con Samara kết thúc với 78RUS. Và nếu bạn nhìn kỹ vào cảnh của bức tranh, bạn sẽ thấy là cái biển xe của con Mercedes có ghi O600KO78RUS. Tôi không phải là luật sư, nhưng mà nếu là luật sư, và tôi sẽ nói "tôi xong trường hợp này"

(cười)

Vậy thì chuyện gì xẩy ra khi tôi phạm trực tuyến bị bắt? Thật ra thì phần lớn thường là mọi chuyện không đi xa đến thế này. Phần lớn của những tội án trực tuyến chúng ta còn không biết cuộc tấn công được làm từ châu lục nào. Và kể cả khi chúng ta tìm ra chúng tôi phạm trực tuyến thường thì không có kết quả gì hết. Cảnh sát địa phương không hành động, hoặc nếu họ làm, không có đủ bằng chứng, hoặc vì một lý do nào đó, chúng ta không thể bắt chúng. Tôi ước gì mọi chuyện đã dễ dàng hơn, thật không may là không được như vậy.

Nhưng mọi chuyện đang thay đổi rất nhanh chóng. Bạn đã nghe đến những thứ như Stuxnet. Nếu bạn nhìn đến những gì Stuxnet đã làm nó đã làm nhiễm những cái này Đó là một cái Siemens S7-400 PLC lập trình logic [điều khiển] Và đây là những gì chạy cơ sở hạ tầng của chúng tôi. Đây là những gì chạy tất cả mọi thứ xung quanh chúng ta. PLC, những hộp nhỏ mà không có màn hình hiển thị, không bàn phím được lập trình, được đưa ra, và chúng nó làm công việc của chúng. Ví dụ, cầu thang máy trong toà nhà này nhiều khả năng được điều khiển bởi một trong những cái này. Và khi Stuxnet làm nhiễm một trong mấy cái này, đó là một cuộc cách mạng lớn về các loại rủi ro mà chúng ta phải lo lắng. Bởi vì tất cả mọi thứ xung quanh chúng ta đang được chạy bởi những cái này. Ý tôi là, chúng ta có cơ sở hạ tầng quan trọng. Bạn đi đến bất kỳ nhà máy, bất kỳ nhà máy điện nào, bất kỳ nhà máy hóa chất, bất kỳ nhà máy chế biến thực phẩm nào, bạn nhìn quanh -- tất cả mọi thứ đang được điều hành bởi máy tính.

tất cả mọi thứ đang được điều hành bởi máy tính. Mọi thứ đều phụ thuộc vào các máy tính này. Chúng ta trở nên rất phụ thuộc vào Internet, vào những điều hết sức cơ bản nhỡn tiền như điện vào máy tính để làm việc và điều này thực sự trở thành một vấn đê của chúng ta Chúng ta cần tìm ra một cách để tiếp tục làm việc thậm chí cả khi máy tính bị hỏng

(cười)

(vỗ tay)

vì vậy sự chuẩn bị có nghĩa là chúng ta có thể làm nhiều thứ ngay cả khi những điều không có ở đây Đó thực sự là những điều cơ bản khi nghĩ về tính liên hoàn, nghĩ về những phương án dự phòng nghĩ về những việc có thể thực sự trở thành vấn đề

Bây giờ tôi nói với các bạn (cười) tôi yêu Internet, tôi rất yêu hãy nghĩ về tất cả những dịch vụ mà chúng ta bằng trực tuyến Hãy nghĩ về tất cả những gì nó có thể tước đoạt đi từ bạn nếu một ngày bạn không thật sự có nó vì lý do này hay lý do kia Tôi nhìn thấy cái đẹp trong tương lai của Internet nhưng tôi lo lắng rằng chúng ta không thấy điều đó Tôi lo lắng vì chúng ta đâm đầu vào vấn đế bởi vì tội phạm trực tuyến Tội phạm trực tuyến là một điều có thể có thể tước bỏ những khả năng đó khỏi chúng ta

(cười)

Tôi đã giành cả đời mình bảo vệ mạng Và tôi thực sự cảm thấy rằng nếu chúng ta không đấu tranh chống lại tội phạm trực tuyến thì chúng ta sẽ rơi vào khả năng rủi ro mất tất cả những điều này. Chúng ta cần làm việc này trên toàn cầu và chúng ta cần làm ngay bây giờ Điều chúng ta cần phải làm là tăng cường luật pháp toàn cầu, để tìm ra trực tuyến những băng đảng tội phạm những băng đảng tội phạm này làm hàng triệu đô la từ những cuộc tấn công. Điều này trở nên quan trọng hơn là những chương trình chống vi-rút hoặc chạy tường lửa Những điều thực sự quan trọng là chúng ta thực sự cần tìm ra những người đứng đắng sau những việc tấn công này Và thậm chí quan trọng hơn nữa là chúng ta cần tìm ra người có liên quan có thể trở thành một phần của tội phạm trực tuyến thế giới này nhưng hiện nay họ chưa làm điều đó Chúng ta cần tìm ra người có những kỹ năng nhưng không có cơ hội và trao cho họ cơ hội để sử dụng những kỹ năng của mình cho điều tốt đẹp

Xin cảm ơn rất nhiều

(vỗ tay)